Perché la maggior parte delle applicazioni Web utilizza token CSRF come metodo di prevenzione, invece di convalidare tramite l'intestazione di origine?

" l'agente utente POSSONO usare il campo dell'intestazione Origin per informare il server del contesto di sicurezza in cui lo script era in esecuzione quando ha causato l'agente utente a inviare la richiesta "

Non è obbligatorio per un browser fornire l'intestazione. In assenza di un header Origin valido, quali supposizioni dovrebbero fare l'applicazione?

" L'intestazione della richiesta di origine indica da dove proviene un recupero. Non include qualsiasi informazione sul percorso, ma solo il nome del server "

Quindi:

• Il tuo suggerimento fornirebbe solo protezione contro attacchi avviati da altri vhost, non da diverse applicazioni sullo stesso vhost

• causerà il fallimento di richieste legittime se l'applicazione implementa sharding di dominio

• richiede che l'applicazione conosca il dominio che viene servito da

Inoltre, il supporto dell'origine è patchy .

Dato che fornisce un meccanismo per il tracciamento / de-anonimizzazione degli utenti senza fare affidamento sulla persistenza lato client, è improbabile che sia sostenibile a lungo termine come mezzo per garantire l'integrità della sessione.

Perché modificare le intestazioni è facile come estensione .

Regola 1. Non fidarti mai di nulla dall'intestazione.